Referencia de alertas de Microsoft Defender para IoT
Este artículo proporciona una referencia de las alertas que los sensores de red de Microsoft Defender para IoT generan, incluyendo una lista de todos los tipos de alerta y sus descripciones. La referencia también muestra qué alertas se pueden evaluar como aprendiz o no, para obtener más información sobre el estado de aprendizaje, consulte Estado de alerta y opciones de evaluación de prioridades. Puede usar esta referencia para asignar alertas a cuadernos de estrategias, definir reglas de reenvío en un sensor de red de tecnología operativa (OT) u otra actividad personalizada.
Alertas de OT desactivadas de manera predeterminada
Varias alertas están desactivadas de manera predeterminada, como se indica con asteriscos (*) en las tablas siguientes. Los usuarios administradores del sensor de OT pueden habilitar o deshabilitar alertas desde la página Asistencia de un sensor de red de OT específico.
Si desactiva alertas a las que se hace referencia en otros lugares, como las reglas de reenvío de alertas, asegúrese de actualizar estas referencias según sea necesario.
Gravedad de las alertas
Las alertas de Defender para IoT usan los siguientes niveles de gravedad:
Azure portal | Sensor de OT | Descripción |
---|---|---|
Alta | Critical) (Crítico) | indica un ataque malintencionado que debe administrarse inmediatamente. |
Media | Major | indica una amenaza de seguridad que es importante solucionar. |
Baja | Secundaria, Advertencia | Indica cierta desviación del comportamiento de línea de base que puede contener una amenaza de seguridad o que no contiene amenazas de seguridad. |
Las gravedades de alerta de esta página muestran la gravedad como se muestra en Azure Portal.
Tipos de alerta admitidos
Tipo de alerta | Descripción |
---|---|
Alertas de infracción de directivas | Se desencadena cuando el motor de infracción de directivas detecta una desviación del tráfico previamente aprendido. Por ejemplo: - Se detecta un nuevo dispositivo. - Se detecta una nueva configuración en un dispositivo. - Un dispositivo no definido como dispositivo de programación realiza un cambio de programación. - Se produce un cambio en la versión del firmware. |
Alertas de infracción de protocolos | Se desencadenan cuando el motor de infracción de protocolos detecta valores de campo o estructuras de paquetes que no cumplen la especificación del protocolo. |
Alertas operativas | Se desencadenan cuando el motor operativo detecta incidentes operativos de red o un dispositivo que no funciona correctamente. Por ejemplo, un dispositivo de red se detuvo con un comando Stop PLC, o una interfaz en un sensor dejó de supervisar el tráfico. |
Alertas de malware | Se desencadenan cuando el motor de malware detecta actividades de red malintencionadas. Por ejemplo, el motor detecta un ataque conocido, como Conficker. |
Alertas de anomalías | Se desencadenan cuando el motor de anomalías detecta una desviación. Por ejemplo, un dispositivo realiza exámenes de red, pero no se define como un dispositivo de detección. |
La directiva de detección de alertas de Defender para IoT dirige los diferentes motores de alertas para desencadenar alertas basadas en el impacto empresarial y el contexto de red, y reduce las alertas relacionadas con TI de bajo valor. Para obtener más información, consulte Alertas centradas en entornos de OT/TI.
Categorías de alerta admitidas
Cada alerta tiene una de las siguientes categorías:
- Comportamiento de comunicación anómalo
- Comportamiento de comunicación HTTP anómalo
- Authentication
- Copia de seguridad
- Anomalías de ancho de banda
- Desbordamiento de búfer
- Errores de comando
- Cambios en la configuración
- Alertas personalizadas
- Detección
- Cambio de firmware
- Comandos ilegales
- Acceso a Internet
- Errores de operación
- Problemas operativos
- Programar
- Acceso remoto
- Comandos de reinicio y parada
- Examinar
- Tráfico del sensor
- Sospecha de actividad malintencionada
- Sospecha de malware
- Comportamiento de comunicación no autorizado
- Sin respuesta
Alertas del motor de directivas
Las alertas del motor de directivas describen las desviaciones detectadas del comportamiento de línea base aprendido.
Título | Descripción | severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Más información |
---|---|---|---|---|---|
Se ha cambiado el software Beckhoff | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Error de inicio de sesión en la base de datos | Se detectó un error de inicio de sesión desde un dispositivo de origen a un servidor de destino. Esto podría ser resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos que hay en él. Umbral: 2 errores de inicio de sesión en 5 minutos |
Media | Authentication | Tácticas: - Movimiento lateral -Colección Técnicas: - T0812: Credenciales predeterminadas - T0811: datos de repositorios de información |
No se puede aprender |
Se ha modificado la versión de firmware de Emerson ROC | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Una dirección externa de la red se ha comunicado con Internet | Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. | Alto | Acceso a Internet | Tácticas: - Acceso inicial Técnicas: - T0883: dispositivo accesible desde Internet |
Más información |
Dispositivo de campo detectado de forma inesperada | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. | Medio | Detección | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Cambio de firmware detectado | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
No se puede aprender |
Se ha cambiado la versión de firmware | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Operación no autorizada de Foxboro I/A | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Error de inicio de sesión de FTP | Se detectó un error de inicio de sesión desde un dispositivo de origen a un servidor de destino. Esta alerta podría ser resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos que hay en él. | Media | Authentication | Tácticas: - Movimiento lateral - Comando y control Técnicas: - T0812: Credenciales predeterminadas - T0869: protocolo de nivel de aplicación estándar |
No se puede aprender |
El código de función generó una excepción no autorizada* | Un dispositivo de origen (secundario) ha devuelto una excepción a un dispositivo de destino (principal). | Media | Errores de comando | Tácticas: - Función de inhibición de respuesta Técnicas: - T0835: manipular la imagen de E/S |
Más información |
Configuración del tipo de mensaje de GOOSE | Se ha modificado la configuración del mensaje (identificado por el id. de protocolo) en un dispositivo de origen. | Bajo | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
La versión del firmware de Honeywell ha cambiado. | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Comunicación HTTP ilícita * | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación HTTP anómalo | Tácticas: -Descubrimiento Técnicas: - T0846: detección de sistema remoto |
Más información |
Se ha detectado un acceso a Internet | Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. | Media | Acceso a Internet | Tácticas: - Acceso inicial Técnicas: - T0883: dispositivo accesible desde Internet |
Más información |
La versión del firmware de Mitsubishi ha cambiado. | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Infracción del intervalo de direcciones de Modbus | Un dispositivo principal solicitó acceso a una nueva dirección de memoria secundaria. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
La versión del firmware de Modbus ha cambiado. | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Nueva actividad detectada: clase CIP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Descubrimiento Técnicas: - T0888: detección de información del sistema |
Más información |
Nueva actividad detectada: servicio de clase CIP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Función de inhibición de respuesta Técnicas: - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: comando CIP PCCC | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Función de inhibición de respuesta Técnicas: - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: símbolo CIP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: conexión de E/S de EtherNet/IP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Descubrimiento - Función de inhibición de respuesta Técnicas: - T0846: Detección remota del sistema - T0835: manipular la imagen de E/S |
Más información |
Nueva actividad detectada: comando de protocolo de EtherNet/IP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Función de inhibición de respuesta Técnicas: - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: código de mensaje de GSM | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - CommandAndControl Técnicas: - T0869: protocolo de nivel de aplicación estándar |
Más información |
Nueva actividad detectada: códigos de comando de LonTalk | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Colección - Afectar el control de procesos Técnicas: - T0861 - Identificación de punto e etiqueta - T0855: mensaje de comando no autorizado |
Más información |
Nueva detección de puertos | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Bajo | Detección | Tácticas: - Movimiento lateral Técnicas: - T0867: Transferencia de herramientas lateral |
Más información |
Nueva actividad detectada: variable de red de LonTalk | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
Más información |
Nueva actividad detectada: solicitud de datos de Ovation | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Colección -Descubrimiento Técnicas: - T0801: Supervisar el estado del proceso - T0888: detección de información del sistema |
Más información |
Nueva actividad detectada: comando de lectura/escritura (grupo de índices de AMS) | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Cambios de configuración | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: comando de lectura/escritura (desplazamiento de índices de AMS) | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Cambios de configuración | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: tipo de mensaje de DeltaV no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Nueva actividad detectada: operación de DeltaV ROC no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Nueva actividad detectada: tipo de mensaje de RPC no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
Más información |
Nueva actividad detectada: uso del comando de protocolo de AMS | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro - T0821: Modificar tareas del controlador |
Más información |
Nueva actividad detectada: uso de comandos de Siemens SICAM | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: uso del comando de protocolo de Suitelink | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: uso de sesiones de protocolo de Suitelink | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Nueva actividad detectada: uso del comando de Yokogawa VNetIP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Se ha detectado un nuevo recurso | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. Esta alerta se aplica a los dispositivos detectados en subredes de OT. Los nuevos dispositivos detectados en subredes de TI no desencadenan una alerta. |
Mediana | Detección | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Nueva configuración del dispositivo LLDP | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. | Medio | Cambios de configuración | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Comando no autorizado de Omron FINS | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
Más información |
Se ha modificado el firmware de S7 Plus PLC | El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Medio | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
Configuración del tipo de mensaje de valores de ejemplo | Se ha modificado la configuración del mensaje (identificado por el id. de protocolo) en un dispositivo de origen. | Bajo | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Sospecha de un examen de integridad no válido* | Se ha detectado un análisis en un dispositivo de origen de DNP3 (estación remota). Este examen no se ha autorizado como tráfico aprendido de la red. | Media | Examinar | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Comando no autorizado de Toshiba Computer Link | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Bajo | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Operación de archivo ABB Totalflow no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
No se puede aprender |
Operación de registro de ABB Totalflow no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
No se puede aprender |
Acceso no autorizado al bloque de datos de Siemens S7 | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Bajo | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Acceso inicial Técnicas: - T0855: Mensaje de comando no autorizado - T0811: datos de repositorios de información |
Más información |
Acceso no autorizado al objeto de Siemens S7 Plus | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas de controlador - T0809: destrucción de datos |
Más información |
Acceso no autorizado a la etiqueta Wonderware | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Medio | Comportamiento de comunicación no autorizado | Tácticas: -Colección - Afectar el control de procesos Técnicas: - T0861: Identificación de punto e etiqueta - T0855: mensaje de comando no autorizado |
Más información |
Acceso no autorizado a objetos BACNet | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Ruta BACNet no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Inicio de sesión a la base de datos no autorizado* | Se ha detectado un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. | Medio | Authentication | Tácticas: - Movimiento lateral -Persistencia -Colección Técnicas: - T0859: Cuentas válidas - T0811: datos de repositorios de información |
Más información |
Operación de base de datos no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación anómalo | Tácticas: - Afectar el control de procesos - Acceso inicial Técnicas: - T0855: Mensaje de comando no autorizado - T0811: datos de repositorios de información |
Más información |
Operación de Emerson ROC no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Acceso no autorizado a archivos de GE SRTP | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Colección - LateralMovement -Persistencia Técnicas: - T0801: Supervisar el estado del proceso - T0859: cuentas válidas |
Más información |
Comando de protocolo de GE SRTP no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Operación de memoria del sistema de GE SRTP no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: -Descubrimiento - Afectar el control de procesos Técnicas: - T0846: Detección remota del sistema - T0855: mensaje de comando no autorizado |
Más información |
Actividad HTTP no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación HTTP anómalo | Tácticas: - Acceso inicial - Comando y control Técnicas: - T0822: Servicios remotos externos - T0869: protocolo de nivel de aplicación estándar |
Más información |
Acción SOAP HTTP no autorizada* | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación HTTP anómalo | Tácticas: - Comando y control -Ejecución Técnicas: - T0869: Protocolo de capa de aplicación estándar - T0871: Ejecución a través de la API |
Más información |
Agente de usuario HTTP no autorizado * | Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Medio | Comportamiento de comunicación HTTP anómalo | Tácticas: - Comando y control Técnicas: - T0869: protocolo de nivel de aplicación estándar |
Más información |
Se ha detectado una conexión a Internet no autorizada. | Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. | Alto | Acceso a Internet | Tácticas: - Acceso inicial Técnicas: - T0883: dispositivo accesible desde Internet |
Más información |
Comando MELSEC de Mitsubishi no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Acceso no autorizado a programas MMS | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Medio | Programar | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Servicio MMS no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Más información |
Conexión de multidifusión/difusión no autorizada | Se ha detectado una conexión de multidifusión/difusión entre un dispositivo de origen y otros dispositivos. La comunicación multidifusión/difusión no está autorizada. | Alto | Comportamiento de comunicación anómalo | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Consulta de nombre no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación anómalo | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Actividad de OPC UA no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Solicitud o respuesta de OPC UA no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Una regla definida por el usuario ha detectado una operación no autorizada | Se ha detectado tráfico entre dos dispositivos. Esta actividad no se autoriza en función de una regla de alerta personalizada definida por un usuario. | Media | Alertas personalizadas | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Lectura no autorizada de la configuración de PLC | El dispositivo de origen no se ha definido como un dispositivo de programación pero realizó una operación de lectura y escritura en un controlador de destino. Los dispositivos de programación son los únicos que deben realizar cambios de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. | Bajo | Cambios de configuración | Tácticas: -Colección Técnicas: - T0801: supervisar el estado del proceso |
Más información |
Escritura no autorizada de la configuración de PLC | El dispositivo de origen envió un comando para leer el programa de un controlador de destino o escribir en él. Esta actividad no se ha mostrado anteriormente. | Media | Cambios de configuración | Tácticas: - Afectar el control de procesos -Persistencia -Impacto Técnicas: - T0839: Firmware del módulo - T0831: Manipulación del control - T0889: modificar programa |
Más información |
Carga de programa PLC no autorizada | El dispositivo de origen envió un comando para leer el programa de un controlador de destino o escribir en él. Esta actividad no se ha mostrado anteriormente. | Media | Programar | Tácticas: - Afectar el control de procesos -Persistencia -Colección Técnicas: - T0839: Firmware del módulo - T0845: carga de programas |
Más información |
Programación de PLC no autorizada | El dispositivo de origen no se ha definido como un dispositivo de programación pero realizó una operación de lectura y escritura en un controlador de destino. Los dispositivos de programación son los únicos que deben realizar cambios de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. | Alto | Programar | Tácticas: - Afectar el control de procesos -Persistencia - Movimiento lateral Técnicas: - T0839: Firmware del módulo - T0889: Modificar programa - T0843: descarga de programa |
Más información |
Tipo de marco Profinet no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Comando SAIA S-Bus no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
Más información |
Ejecución no autorizada de la función de control de Siemens S7 | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0809: destrucción de datos |
Más información |
Ejecución no autorizada de la función definida por el usuario de Siemens S7 | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0836: Modificar parámetro - T0863: ejecución del usuario |
Más información |
Acceso no autorizado al bloque de Siemens S7 Plus | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Función de inhibición de respuesta -Persistencia -Ejecución Técnicas: - T0803 - Bloquear mensaje de comando - T0889: Modificar programa - T0821: Modificar tareas del controlador |
Más información |
Operación no autorizada de Siemens S7 Plus | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos -Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0863: ejecución del usuario |
Más información |
Inicio de sesión de SMB no autorizado | Se ha detectado un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. | Medio | Authentication | Tácticas: - Acceso inicial - Movimiento lateral -Persistencia Técnicas: - T0886: Servicios remotos - T0859: cuentas válidas |
Más información |
Operación SNMP no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación anómalo | Tácticas: -Descubrimiento - Comando y control Técnicas: - T0842: Detección de red - T0885: puerto usado habitualmente |
Más información |
Acceso a SSH no autorizado | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Acceso remoto | Tácticas: - InitialAccess - Movimiento lateral - Comando y control Técnicas: - T0886: Servicios remotos - T0869: protocolo de nivel de aplicación estándar |
Más información |
Proceso de Windows no autorizado | Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Medio | Comportamiento de comunicación anómalo | Tácticas: -Ejecución - Elevación de privilegios - Comando y control Técnicas: - T0841: Enlace - T0885: puerto usado habitualmente |
Más información |
Servicio de Windows no autorizado | Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Medio | Comportamiento de comunicación anómalo | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
Más información |
Una regla definida por el usuario ha detectado una operación no autorizada | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros infringe una regla definida por el usuario | Media | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender | |
Extensión de Modbus Schneider Electric no permitida | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
Más información |
Uso no permitido de tipos ASDU | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
Más información |
Uso no permitido del código de la función DNP3 | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Uso no permitido de la indicación interna (IIN)* | Un dispositivo de origen de DNP3 (estación remota) ha comunicado una indicación interna (IIN) que no ha autorizado como tráfico aprendido en la red. | Media | Comandos ilegales | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Uso no permitido del código de la función de Modbus | Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Media | Comportamiento de comunicación no autorizado | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
Más información |
Alertas del motor de anomalías
Nota
Este artículo contiene referencias al término esclavo, un término que Microsoft ya no usa. Cuando se quite el término del software, se quitará también del artículo.
Las alertas del motor de anomalías describen las anomalías detectadas en la actividad de red.
Título | Descripción | severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Más información |
---|---|---|---|---|---|
Patrón de excepción anómalo en dispositivo secundario* | Se ha detectado un número excesivo de errores en un dispositivo de origen. Esta alerta puede ser el resultado de un problema operativo. Umbral: 20 excepciones en 1 hora |
Bajo | Comportamiento de comunicación anómalo | Tácticas: - Afectar el control de procesos Técnicas: - T0806: E/S por fuerza bruta |
No se puede aprender |
Longitud de encabezado HTTP anómala* | El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino. | Alto | Comportamiento de comunicación HTTP anómalo | Tácticas: - Acceso inicial - Movimiento lateral - Comando y control Técnicas: - T0866: Explotación de servicios remotos - T0869: protocolo de nivel de aplicación estándar |
Más información |
Número anómalo de parámetros en el encabezado HTTP* | El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino. | Alto | Comportamiento de comunicación HTTP anómalo | Tácticas: - Acceso inicial - Movimiento lateral - Comando y control Técnicas: - T0866: Explotación de servicios remotos - T0869: protocolo de nivel de aplicación estándar |
Más información |
Comportamiento periódico anómalo en el canal de comunicación | Se ha detectado un cambio en la frecuencia de comunicación entre el dispositivo de origen y el de destino. | Bajo | Comportamiento de comunicación anómalo | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Finalización anómala de aplicaciones* | Se ha detectado un número excesivo de comandos de detención en un dispositivo de origen. Esta alerta puede ser el resultado de un problema operativo o de un intento de manipular el dispositivo. Umbral: 20 comandos de detención en 3 horas |
Media | Comportamiento de comunicación anómalo | Tácticas: -Persistencia -Impacto Técnicas: - T0889: Modificar programa - T0831: manipulación del control |
Más información |
Ancho de banda de tráfico anómalo* | Se ha detectado un ancho de banda anómalo en un canal. El ancho de banda parece ser inferior o superior al detectado previamente. Para más información, trabaje con el widget de ancho de banda total. | Bajo | Anomalías de ancho de banda | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Ancho de banda de tráfico anómalo entre dispositivos* | Se ha detectado un ancho de banda anómalo en un canal. El ancho de banda parece ser inferior o superior al detectado previamente. Para más información, trabaje con el widget de ancho de banda total. | Bajo | Anomalías de ancho de banda | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Se detectó un análisis de direcciones | Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 50 conexiones a la misma subred de clase B en 2 minutos |
Alto | Examinar | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Examen de direcciones ARP detectado* | Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red mediante el protocolo de resolución de direcciones (ARP). Esta dirección del dispositivo no está autorizada como dirección de examen de ARP válida. Umbral: 40 exámenes en 6 minutos |
Alto | Examinar | Tácticas: -Descubrimiento -Colección Técnicas: - T0842: Detección de red - T0830: ataque de tipo "Man in the middle" |
Más información |
Suplantación de identidad de ARP* | Se ha detectado una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad de ARP o un ataque "flood" de congestión del servidor de ICMP. Umbral: 60 paquetes en 1 minuto |
Bajo | Comportamiento de comunicación anómalo | Tácticas: -Colección Técnicas: - T0830: ataque de tipo "Man in the middle" |
No se puede aprender |
Intentos de inicio de sesión excesivos | Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esta alerta podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado. Umbral: 20 intentos de inicio de sesión en 1 minuto |
Alto | Authentication | Tácticas: - LateralMovement - Afectar el control de procesos Técnicas: - T0812: Credenciales predeterminadas - T0806: E/S por fuerza bruta |
No se puede aprender |
Número de sesiones excesivo | Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado. Umbral: 50 sesiones en 1 minuto |
Alto | Comportamiento de comunicación anómalo | Tácticas: - Movimiento lateral - Afectar el control de procesos Técnicas: - T0812: Credenciales predeterminadas - T0806: E/S por fuerza bruta |
No se puede aprender |
Velocidad de reinicio excesiva de una estación remota* | Se ha detectado un número excesivo de comandos de reinicio en un dispositivo de origen. Estas alertas pueden ser el resultado de un problema operativo o un intento de manipular el dispositivo. Umbral: 10 reinicios en 1 hora |
Media | Comandos de reinicio y parada | Tácticas: - Función de inhibición de respuesta - Afectar el control de procesos Técnicas: - T0814: Denegación de servicio - T0806: E/S por fuerza bruta |
No se puede aprender |
Intentos excesivos de inicio de sesión en SMB | Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado. Umbral: 10 intentos de inicio de sesión en 10 minutos |
Alto | Authentication | Tácticas: -Persistencia -Ejecución - LateralMovement Técnicas: - T0812: Credenciales predeterminadas - T0853: Scripting - T0859: cuentas válidas |
No se puede aprender |
Ataque "flood" de congestión del servidor de ICM* | Se ha detectado una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad de ARP o un ataque "flood" de congestión del servidor de ICMP. Umbral: 60 paquetes en 1 minuto |
Bajo | Comportamiento de comunicación anómalo | Tácticas: -Descubrimiento -Colección Técnicas: - T0842: Detección de red - T0830: ataque de tipo "Man in the middle" |
No se puede aprender |
Contenido de encabezado HTTP no válido* | El dispositivo de origen ha iniciado una solicitud no válida. | Alto | Comportamiento de comunicación HTTP anómalo | Tácticas: - Acceso inicial - LateralMovement Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Canal de comunicación inactivo* | Un canal de comunicación entre dos dispositivos estuvo inactivo durante un período en el que normalmente se observa actividad. Esto podría indicar que se ha cambiado el programa que genera este tráfico o que el programa no está disponible. Se recomienda revisar la configuración del programa instalado y comprobar que está configurado correctamente. Umbral: 1 minuto |
Bajo | Sin respuesta | Tácticas: - Función de inhibición de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
Se ha detectado un examen de direcciones de larga duración* | Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 50 conexiones a la misma subred de clase B en 10 minutos |
Alto | Examinar | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Intento de averiguación de contraseña detectado | Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado. Umbral: 100 intentos en 1 minuto |
Alto | Authentication | Tácticas: - Movimiento lateral Técnicas: - T0812: Credenciales predeterminadas - T0806: E/S por fuerza bruta |
No se puede aprender |
Se ha detectado un examen de PLC | Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 10 exámenes en 2 minutos |
Alto | Examinar | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Se ha detectado un examen de puertos | Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 25 exámenes en 2 minutos |
Alto | Examinar | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
Más información |
Longitud de mensaje inesperada | El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino. Umbral: longitud de texto, 32768 |
Alto | Comportamiento de comunicación anómalo | Tácticas: - InitialAccess - LateralMovement Técnicas: - T0869: explotación de servicios remotos |
No se puede aprender |
Tráfico inesperado para el puerto estándar* | Se ha detectado tráfico en un dispositivo mediante un puerto reservado para otro protocolo. | Media | Comportamiento de comunicación anómalo | Tácticas: - Comando y control -Descubrimiento Técnicas: - T0869: Protocolo de capa de aplicación estándar - T0842: examen de red |
No se puede aprender |
Alertas del motor de infracciones de protocolo
Las alertas del motor de protocolo describen las desviaciones detectadas en la estructura de los paquetes o en los valores de campo en comparación con las especificaciones del protocolo.
Título | Descripción | severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Más información |
---|---|---|---|---|---|
Demasiados paquetes con formato incorrecto en una única sesión* | Se ha enviado un número anómalo de paquetes con formato incorrecto desde el dispositivo de origen al dispositivo de destino. Esta alerta puede indicar comunicaciones erróneas o un intento de manipular el dispositivo de destino. Umbral: 2 paquetes con formato incorrecto en 10 minutos |
Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0806: E/S por fuerza bruta |
No se puede aprender |
Actualización de firmware | Un dispositivo de origen envió un comando para actualizar el firmware en un dispositivo de destino. Compruebe que las últimas actualizaciones de programación, configuración y firmware realizadas en el dispositivo de destino sean válidas. | Bajo | Cambio de firmware | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
Más información |
El código de función no es compatible con la estación remota | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Mensaje de BACNet no válido | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Intento de conexión no válida en el puerto 0 | Un dispositivo de origen intentó conectarse al dispositivo de destino en el número de puerto cero (0). En TCP, el puerto 0 está reservado y no se puede usar. En el caso de UDP, el puerto es opcional y el valor 0 significa que no hay ningún puerto. Normalmente no hay ningún servicio en un sistema que escucha en el puerto 0. Este evento podría indicar un intento de atacar el dispositivo de destino o indicar que una aplicación se programó incorrectamente. | Bajo | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Operación de DNP3 no válida | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Operación MODBUS no válida (excepción generada por el maestro) | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Operación MODBUS no válida (código de función cero)* | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Versión de protocolo no válida* | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Acceso inicial - LateralMovement - Afectar el control de procesos Técnicas: - T0820: Servicios remotos - T0836: modificar parámetro |
No se puede aprender |
Se ha enviado un parámetro incorrecto a una estación remota | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Inicio de un código de función obsoleto (inicializar datos) | El dispositivo de origen ha iniciado una solicitud no válida. | Bajo | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Inicio de un código de función obsoleto (guardar configuración) | El dispositivo de origen ha iniciado una solicitud no válida. | Bajo | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
El dispositivo maestro solicitó una confirmación en el nivel de aplicación | El dispositivo de origen ha iniciado una solicitud no válida. | Bajo | Comandos ilegales | Tácticas: - Comando y control Técnicas: - T0869: protocolo de nivel de aplicación estándar |
No se puede aprender |
Excepción Modbus | Un dispositivo de origen (secundario) ha devuelto una excepción a un dispositivo de destino (principal). | Media | Comandos ilegales | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: denegación de servicio |
No se puede aprender |
El dispositivo subordinado recibió un tipo de ASDU no válido | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
El dispositivo subordinado recibió una causa de comando de transmisión no válida | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Un dispositivo subordinado recibió una dirección común no válida | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Un dispositivo secundario recibió un parámetro de dirección de datos no válido* | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Un dispositivo secundario recibió un parámetro de valor de datos no válido* | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
El dispositivo subordinado ha recibido un código de función no válido* | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
El dispositivo subordinado recibió una dirección de objeto de información no válida | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: modificar parámetro |
No se puede aprender |
Se ha enviado un objeto desconocido a la estación remota | El dispositivo de destino ha recibido una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Uso de un código de función reservado | El dispositivo de origen ha iniciado una solicitud no válida. | Media | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Uso de un formato incorrecto por parte de la estación remota* | El dispositivo de origen ha iniciado una solicitud no válida. | Bajo | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Uso de marcas de estado reservadas (IIN) | Un dispositivo de origen de DNP3 (estación remota) usó el indicador interno reservado 2.6. Se recomienda comprobar la configuración del dispositivo. | Bajo | Comandos ilegales | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Alertas del motor de malware
Las alertas del motor de malware describen la actividad de red malintencionada que se ha detectado.
Título | Descripción | severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Más información |
---|---|---|---|---|---|
Intento de conexión a una dirección IP malintencionada conocida | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Desencadenadas por sensores de red de OT y Enterprise IoT. |
Alto | Sospecha de actividad malintencionada | Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible desde Internet - T0884: proxy de conexión |
No se puede aprender |
Mensaje SMB no válido (implante de puerta trasera de DoublePulsar) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Acceso inicial - LateralMovement Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Solicitud de nombre de dominio malintencionado | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Desencadenadas por sensores de red de OT y Enterprise IoT. |
Alto | Sospecha de actividad malintencionada | Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible desde Internet - T0884: proxy de conexión |
Más información |
Ruta de acceso de dirección URL malintencionada | Se realizó una solicitud a una ruta de acceso de dirección URL malintencionada conocida. Las solicitudes realizadas para esta ruta de acceso URL pueden indicar que el origen que realiza la solicitud está en peligro. | Alto | Sospecha de actividad malintencionada | Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible desde Internet - T0884: proxy de conexión |
No se puede aprender |
Archivo de prueba de malware detectado: el antivirus EICAR ha funcionado correctamente | Se detectó un archivo de prueba de AV DECAR en el tráfico entre dos dispositivos (a través de cualquiera de los dos transportes siguientes: TCP o UDP). El archivo no es malware. Se usa para confirmar que el software antivirus está instalado correctamente. Muestra lo que sucede cuando se detecta un virus y comprueba los procedimientos internos y las reacciones cuando se detecta un virus. El software antivirus debe detectar EICAR como si fuera un virus real. | Alto | Sospecha de actividad malintencionada | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Sospecha de malware de Conficker | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Medio | Sospecha de malware | Tácticas: - Acceso inicial -Impacto Técnicas: - T0826: Pérdida de disponibilidad - T0828: Pérdida de productividad e ingresos - T0847: replicación a través de medios extraíbles |
No se puede aprender |
Sospecha de ataque de denegación de servicio | Un dispositivo de origen intentó iniciar un número excesivo de conexiones nuevas con un dispositivo de destino. Esto podría indicar un ataque por denegación de servicio (DOS) contra el dispositivo de destino y podría interrumpir la funcionalidad del dispositivo, afectar al rendimiento y la disponibilidad del servicio, o provocar errores irrecuperables. Umbral: 3000 intentos en 1 minuto |
Alto | Sospecha de actividad malintencionada | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: denegación de servicio |
Más información |
Sospecha de actividad malintencionada | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que desencadenó "Indicadores de riesgo" conocidos (IOC). El equipo se seguridad debe revisar los metadatos de la alerta. | Alto | Sospecha de actividad malintencionada | Tácticas: - Movimiento lateral Técnicas: - T0867: Transferencia de herramientas lateral |
No se puede aprender |
Sospecha de actividad malintencionada (BlackEnergy) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Comando y control Técnicas: - T0869: protocolo de nivel de aplicación estándar |
No se puede aprender |
Sospecha de actividad malintencionada (DarkComet) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Impacto Técnicas: - T0882: robo de información operativa |
No se puede aprender |
Sospecha de actividad malintencionada (Duqu) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Impacto Técnicas: - T0882: robo de información operativa |
No se puede aprender |
Sospecha de actividad malintencionada (Flame) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Colección -Impacto Técnicas: - T0882: Robo de información operativa - T0811: datos de repositorios de información |
No se puede aprender |
Sospecha de actividad malintencionada (Havex) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Colección -Descubrimiento - Función de inhibición de respuesta Técnicas: - T0861: Identificación de punto e etiqueta - T0846: Detección remota del sistema - T0814: denegación de servicio |
No se puede aprender |
Sospecha de actividad malintencionada (Karagany) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Impacto Técnicas: - T0882: robo de información operativa |
No se puede aprender |
Sospecha de actividad malintencionada (LightsOut) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: -Evasión Técnicas: - T0849: enmascaramiento |
No se puede aprender |
Sospecha de actividad malintencionada (consultas de nombre) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Umbral: 25 consultas de nombre en 1 minuto |
Alto | Sospecha de actividad malintencionada | Tácticas: - Comando y control Técnicas: - T0884: proxy de conexión |
No se puede aprender |
Sospecha de actividad malintencionada (Poison Ivy) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Sospecha de actividad malintencionada (Regin) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Acceso inicial - Movimiento lateral -Impacto Técnicas: - T0866: Explotación de servicios remotos - T0882: robo de información operativa |
No se puede aprender |
Sospecha de actividad malintencionada (Stuxnet) | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Acceso inicial - Movimiento lateral -Impacto Técnicas: - T0818: Compromiso de estación de trabajo de ingeniería - T0866: Explotación de servicios remotos - T0831: manipulación del control |
No se puede aprender |
Sospecha de actividad malintencionada (WannaCry)* | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Medio | Sospecha de malware | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos - T0867: Transferencia de herramientas lateral |
No se puede aprender |
Sospecha de malware de NotPetya: se han detectado parámetros SMB no válidos | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Sospecha de malware de NotPetya: se ha detectado una transacción de SMB no válida | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de malware | Tácticas: - Movimiento lateral Técnicas: - T0867: Transferencia de herramientas lateral |
No se puede aprender |
Sospecha de ejecución remota de código con PsExec | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de actividad malintencionada | Tácticas: - Movimiento lateral - Acceso inicial Técnicas: - T0866: explotación de servicios remotos |
No se puede aprender |
Sospecha de administración remota de servicios de Windows* | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de actividad malintencionada | Tácticas: - Acceso inicial Técnicas: - T0822: servicios remotos NetworkExternal |
No se puede aprender |
Archivo ejecutable sospechoso detectado en un punto de conexión | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. | Alto | Sospecha de actividad malintencionada | Tácticas: -Evasión - Función de inhibición de respuesta Técnicas: - T0851: Rootkit |
Más información |
Tráfico sospechoso detectado* | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que desencadenó "Indicadores de riesgo" conocidos (IOC). El equipo se seguridad debe revisar los metadatos de la alerta. | Alto | Sospecha de actividad malintencionada | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Actividad de copia de seguridad con firmas de antivirus | El tráfico detectado entre el dispositivo de origen y el servidor de copia de seguridad de destino desencadenó esta alerta. El tráfico incluye la copia de seguridad de software antivirus que podría contener firmas de malware. Probablemente se trata de una actividad de copia de seguridad legítima. | Bajo | Backup | Tácticas: -Impacto Técnicas: - T0882: robo de información operativa |
No se puede aprender |
Alertas del motor operativo
Las alertas del motor operativo describen los incidentes operativos que se han detectado, o las entidades que no funcionan correctamente.
Título | Descripción | severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Más información |
---|---|---|---|---|---|
Se ha enviado un comando de detención de PLC de S7 | El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. | Bajo | Comandos de reinicio y parada | Tácticas: - Movimiento lateral - Evasión de defensa -Ejecución - Función de inhibición de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: denegación de servicio |
No se puede aprender |
Error en la operación BACNet | Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Estado incorrecto del dispositivo MMS | Un dispositivo de fabricación virtual MMS (VMD) ha enviado un mensaje de estado. El mensaje indica que es posible que el servidor no esté configurado correctamente, parcialmente operativo o no operativo en absoluto. | Medio | Problemas operativos | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: denegación de servicio |
No se puede aprender |
Cambio en la configuración del dispositivo* | Se ha detectado un cambio de configuración en un dispositivo de origen. | Bajo | Cambios de configuración | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Desbordamiento continuo del búfer de eventos en una estación remota* | Se ha detectado un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede provocar daños en los datos, bloqueos de programa o ejecución de código malintencionado. Umbral: 3 repeticiones en 10 minutos |
Media | Desbordamiento de búfer | Tácticas: - Función de inhibición de respuesta - Afectar el control de procesos -Persistencia Técnicas: - T0814: Denegación de servicio - T0806: E/S de fuerza bruta - T0839: firmware del módulo |
No se puede aprender |
Restablecimiento del controlador | Un dispositivo de origen ha enviado un comando de restablecimiento a un controlador de destino. El controlador ha dejado de funcionar temporalmente y se ha iniciado de nuevo automáticamente. | Bajo | Comandos de reinicio y parada | Tácticas: - Evasión de defensa -Ejecución - Función de inhibición de respuesta Técnicas: - T0858: Cambiar modo de funcionamiento - T0814: denegación de servicio |
No se puede aprender |
Detención del controlador | El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. | Bajo | Comandos de reinicio y parada | Tácticas: - Movimiento lateral - Evasión de defensa -Ejecución - Función de inhibición de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: denegación de servicio |
No se puede aprender |
El dispositivo no pudo recibir una dirección IP dinámica | El dispositivo de origen está configurado para recibir una dirección IP dinámica de un servidor DHCP, pero no recibió una dirección. Esto indica un error de configuración en el dispositivo o un error operativo en el servidor DHCP. Se recomienda notificar al administrador de red el incidente | Media | Errores de comando | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Se sospecha que el dispositivo está desconectado (no responde) | Un dispositivo de origen no respondió a un comando que se le ha enviado. Es posible que se haya desconectado cuando se envió el comando. Umbral: 8 intentos en 5 minutos |
Media | Sin respuesta | Tácticas: - Función de inhibición de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
Error en la solicitud de servicio CIP de EtherNet/IP | Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Error del comando de protocolo de encapsulación de EtherNet/IP | Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: -Colección Técnicas: - T0801: supervisar el estado del proceso |
No se puede aprender |
Desbordamiento de búfer de eventos en estación remota | Se ha detectado un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede provocar daños en los datos, bloqueos de programa o ejecución de código malintencionado. | Medio | Desbordamiento de búfer | Tácticas: - Función de inhibición de respuesta - Afectar el control de procesos -Persistencia Técnicas: - T0814: Denegación de servicio - T0839: firmware del módulo |
No se puede aprender |
No se ha producido la operación de copia de seguridad esperada | No se ha producido la actividad de copia de seguridad o transferencia de archivos esperada entre dos dispositivos. Esta alerta podría indicar errores en el proceso de copia de seguridad o transferencia de archivos. Umbral: 100 segundos |
Media | Backup | Tácticas: - Función de inhibición de respuesta Técnicas: - T0809: destrucción de datos |
Más información |
Error de comando de GE SRTP | Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Se ha enviado el comando de detención de PLC GE SRTP | El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. | Bajo | Comandos de reinicio y parada | Tácticas: - Movimiento lateral - Evasión de defensa -Ejecución - Función de inhibición de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: denegación de servicio |
No se puede aprender |
El bloque de control GOOSE requiere una configuración adicional | Un dispositivo de origen ha enviado un mensaje GOOSE que indica que el dispositivo necesita una puesta en marcha. Esto significa que el bloque de control GOOSE requiere una configuración adicional y que los mensajes GOOSE no son operativos de forma parcial o total. | Media | Cambios de configuración | Tácticas: - Afectar el control de procesos - Función de inhibición de respuesta Técnicas: - T0803: Bloquear mensaje de comando - T0821: Modificar tareas del controlador |
No se puede aprender |
Se ha cambiado la configuración del conjunto de datos de GOOSE* | Se ha cambiado un conjunto de datos de mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Esto significa que el dispositivo informa de un conjunto de datos diferente para este mensaje. | Bajo | Cambios de configuración | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Estado inesperado del controlador Honeywell | Un controlador Honeywell ha enviado un mensaje de diagnóstico inesperado que indica un cambio de estado. | Bajo | Problemas operativos | Tácticas: -Evasión -Ejecución Técnicas: - T0858: cambiar modo de funcionamiento |
No se puede aprender |
Errores del cliente HTTP* | El dispositivo de origen ha iniciado una solicitud no válida. | Bajo | Comportamiento de comunicación HTTP anómalo | Tácticas: - Comando y control Técnicas: - T0869: protocolo de nivel de aplicación estándar |
No se puede aprender |
Dirección IP no válida | El sistema ha detectado tráfico entre un dispositivo de origen y una dirección IP que no es una dirección válida. Esto puede indicar una configuración incorrecta o un intento de generar tráfico no válido. | Bajo | Comportamiento de comunicación anómalo | Tácticas: -Descubrimiento - Afectar el control de procesos Técnicas: - T0842: Detección de red - T0836: modificar parámetro |
No se puede aprender |
Error de autenticación maestro-subordinado | Error en el proceso de autenticación entre un dispositivo de origen DNP3 (principal) y un dispositivo de destino (estación remota). | Bajo | Authentication | Tácticas: - Movimiento lateral -Persistencia Técnicas: - T0859: cuentas válidas |
No se puede aprender |
Error en la solicitud de servicio de MMS | Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
No se ha detectado ningún tráfico en la interfaz del sensor | Un sensor ha dejado de detectar tráfico de red en una interfaz de red. | Alto | Tráfico del sensor | Tácticas: - Función de inhibición de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
El servidor de OPC UA ha generado un evento que requiere la atención del usuario | Un servidor de OPC UA ha enviado una notificación de eventos a un cliente. Este tipo de evento requiere la atención del usuario | Media | Problemas operativos | Tácticas: - Función de inhibición de respuesta Técnicas: - T0838: Modificar la configuración de alarma |
No se puede aprender |
Error en la solicitud de servicio de OPC UA | Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
La estación remota se ha reiniciado | Se ha detectado un reinicio en frío en un dispositivo de origen. Esto significa que el dispositivo se apagó físicamente y que ha vuelto a encenderse. | Bajo | Comandos de reinicio y parada | Tácticas: - Función de inhibición de respuesta Técnicas: - T0816: reinicio/apagado del dispositivo |
No se puede aprender |
La estación remota se reinicia con frecuencia | Se ha detectado un número excesivo de reinicios en frío en un dispositivo de origen. Esto significa que el dispositivo se apagó físicamente y que vuelve encenderse un número excesivo de veces. Umbral: 2 reinicios en 10 minutos |
Bajo | Comandos de reinicio y parada | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: Denegación de servicio - T0816: reinicio/apagado del dispositivo |
No se puede aprender |
Se ha cambiado la configuración de la estación remota | Se ha detectado un cambio de configuración en un dispositivo de origen. | Media | Cambios de configuración | Tácticas: - Función de inhibición de respuesta -Persistencia Técnicas: - T0857: firmware del sistema |
No se puede aprender |
Se ha detectado una configuración dañada de la estación remota | Este dispositivo de origen DNP3 (estación remota) ha informado de una configuración dañada. | Media | Cambios de configuración | Tácticas: - Función de inhibición de respuesta Técnicas: - T0809: destrucción de datos |
No se puede aprender |
Error del comando DCP de Profinet | Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Restablecimiento de fábrica de dispositivos Profinet | Un dispositivo de origen ha enviado un comando de restablecimiento de fábrica a un dispositivo de destino Profinet. El comando de restablecimiento borra la configuración del dispositivo Profinet y detiene su funcionamiento. | Bajo | Comandos de reinicio y parada | Tácticas: - Evasión de defensa -Ejecución - Función de inhibición de respuesta Técnicas: - T0858: Cambiar modo de funcionamiento - T0814: denegación de servicio |
No se puede aprender |
Error en la operación de RPC* | Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. | Media | Errores de comando | Tácticas: - Afectar el control de procesos Técnicas: - T0855: mensaje de comando no autorizado |
No se puede aprender |
Se ha modificado la configuración del conjunto de datos del mensaje de valores de ejemplo* | Se ha cambiado un conjunto de datos de mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Esto significa que el dispositivo informa de un conjunto de datos diferente para este mensaje. | Bajo | Cambios de configuración | Tácticas: - Afectar el control de procesos Técnicas: - T0836: modificar parámetro |
No se puede aprender |
Error irrecuperable del dispositivo subordinado* | Se ha detectado un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al ejecutar un comando específico. | Media | Errores de comando | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: denegación de servicio |
No se puede aprender |
Sospecha de problemas de hardware en la estación remota | Se ha detectado un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al ejecutar un comando específico. | Media | Problemas operativos | Tácticas: - Función de inhibición de respuesta Técnicas: - T0814: Denegación de servicio - T0881: Service Stop |
No se puede aprender |
Sospecha de dispositivo MODBUS sin respuesta | Un dispositivo de origen no respondió a un comando que se le ha enviado. Es posible que se haya desconectado cuando se envió el comando. Umbral: mínimo de 1 respuesta válida para un mínimo de 3 solicitudes en un plazo de 5 minutos |
Bajo | Sin respuesta | Tácticas: - Función de inhibición de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
Se ha detectado tráfico en la interfaz del sensor | Un sensor ha reanudado la detección de tráfico de red en una interfaz de red. | Bajo | Tráfico del sensor | Tácticas: -Descubrimiento Técnicas: - T0842: examen de red |
No se puede aprender |
Modo de funcionamiento PLC cambiado | El modo de funcionamiento en este PLC cambió. El nuevo modo podría indicar que el PLC no es seguro. Dejar el PLC en un modo operativo no seguro podría permitir que los adversarios realicen actividades malintencionadas en él, como una descarga del programa. Si el PLC está en peligro, los dispositivos y los procesos que interactúan con él podrían verse afectados. Esto puede afectar a la seguridad y seguridad generales del sistema. | Bajo | Cambios en la configuración | Tácticas: -Ejecución -Evasión Técnicas: - T0858: cambiar modo de funcionamiento |
No se puede aprender |
Pasos siguientes
Para más información, consulte:
- Visualización y administración de alertas en el portal de Defender para IoT
- Visualización de alertas en el sensor
- Aceleración de los flujos de trabajo de alertas
- Reenvío de la información de las alertas
- Uso de alertas en la consola de administración local
- Referencia de la API de administración de alertas para las consolas de administración locales
- Referencia de la API de administración de alertas para sensores de supervisión de OT
- Reenvío de la información de las alertas